Audyt procesorów – jak sprawdzić, czy procesor działa zgodnie z RODO?

Na co dzień dane powierzamy różnym firmom – partnerom biznesowym, dostawcom usług, agencjom marketingowym, biurom rachunkowym i innym. To właśnie procesorzy, którzy na zlecenie administratora przetwarzają dane osobowe. Uregulowanie zasad współpracy administratora i procesora jest jednym z kluczowych elementów systemu ochrony danych. Aby upewnić się, że współpraca przebiegnie zgodnie z rozporządzeniem o ochronie danych (RODO), należy nie tylko dobrze skonstruować umowę powierzenia przetwarzania danych, ale też regularnie przeprowadzać audyt procesora.

Od 25 maja 2018 r. każda organizacja przetwarzająca dane osobowe (zarówno administrator danych, jak i procesor) powinna być zgodna z wymogami RODO. Samo wprowadzenie RODO może być dość kosztowne i czasochłonne. Dochodzi do tego ryzyko, że podmiot, któremu dane są powierzane, nie realizuje zasad współpracy i nie działa zgodnie z obowiązkami narzuconymi przez RODO. W praktyce niemal każda organizacja powierza dane osobowe swoim dostawcom – firmom kadrowym, płacowym, marketingowym czy szkoleniowym. Wszyscy ci dostawcy to właśnie procesorzy.

Jak kontrolować ich działalność? Podpisanie umów powierzenia przetwarzania danych osobowych z podmiotami przetwarzającymi to dopiero pierwszy krok ku zgodności z RODO. Drugim i niezbędnym krokiem jest stała kontrola, czyli audyt procesorów. Jest on o tyle ważny, że odpowiedzialność za zgodność działań podmiotów przetwarzających z RODO spoczywa solidarnie zarówno na administratorach danych, jak i na podwykonawcach.

Procesor a administrator danych osobowych

Na początek kilka słów wprowadzenia. Procesor to inaczej podmiot przetwarzający w imieniu administratora dane osobowe. Bardzo ważne jest tu rozróżnienie procesora i administratora. Otóż przetwarzanie danych osobowych przez wskazany podmiot nie oznacza automatycznie, że jest też administratorem danych osobowych. Określenie, czy podmiot jest administratorem, czy procesorem, jest niezbędne, aby ich określić obowiązki.

Administratorem danych osobowych (art. 3 RODO) jest osoba fizyczna lub prawna, organ publiczny jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast procesorem (art. 4 pkt 8 RODO) jest podmiot przetwarzający, który przetwarza dane osobowe w imieniu administratora.

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na administratora danych obowiązek prowadzenia rejestru czynności przetwarzania. Spoczywa na nim odpowiedzialność, a także decyzyjność co do celów i środków przetwarzania tych danych. W praktyce to od administratora danych zależy, jakie dane są zbierane, w jakim celu, jak długo będą przetwarzane i czy będą przetwarzane samodzielnie, a może przy współpracy z zewnętrznymi podmiotami. Przykładowo administratorem może być pracodawca, który zatrudnia pracownika; może też być to osoba lub podmiot prowadzący sklep internetowy, który gromadzi i przetwarza dane swoich klientów.

lider

W przypadku procesora mówimy prędzej o czynnościach, które podejmuje na polecenie administratora i realizuje on cele/prace określone przez administratora. Jako procesor może tu występować osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot. Procesor zyskuje informację, jak przetwarzać dane, ale może – na podstawie swoich doświadczeń i specjalizacji – zaproponować najlepsze narzędzia w tym celu, np. oprogramowanie. Przykładowymi czynnościami powierzonymi przez administratora danych osobowych procesorowi jest usługa przechowywania dokumentów, zewnętrzna obsługa kadrowo-płacowa, usługi księgowe, niszczenie dokumentów, usługi informatyczne albo usługi szkoleniowe.

W jaki sposób audytować procesora?

Przepisy rozporządzenia RODO jasno wskazują, że to administrator odpowiada za prawidłowe i bezpieczne przetwarzanie danych osobowych, zarówno przez siebie, jak i przez podmiot, któremu powierzył taką usługę (procesora). Zatem to administrator powinien sprawdzić, czy procesor postępuje zgodnie z przepisami RODO, a także zgodnie z punktami zawartymi w umowie. Do tego służy audyt procesorów. Tutaj warto zaznaczyć, że w rozporządzeniu nie znajdziemy punktu, że audyty są konieczne, jednak wynika to z dobrej praktyki.

Audyt procesorów to ważna usługa weryfikująca, bez której administratorzy mogą narazić się na odpowiedzialność karno-finansową, nie wspominając o ryzyku naruszenia praw i wolności podmiotów danych. To wszystko może skutkować poważnymi konsekwencjami dla administratora. Dlatego jeszcze przed podpisaniem umowy z procesorem warto sprawdzić, czy stosuje on praktyki zgodne z RODO i czy możemy mu zaufać. Ponadto audyt powinien być przeprowadzany systematycznie po zawarciu umowy w trakcie jej trwania, aby mieć pewność, że procesor wywiązuje się ze swoich zadań – tutaj warto w umowie zaznaczyć, że poddanie się audytowi przez procesora jest wymagane.

Co obejmuje audyt procesora?

Audyt zgodności podmiotów przetwarzających z przepisami RODO polega na zweryfikowaniu rozwiązań, z których korzysta procesor. Sprawdzane są zarówno kwestie formalno-prawne, jak i faktyczne. Wynikiem takiej kontroli jest raport, który określa między innymi procentowy poziom zgodności podmiotu przetwarzającego z RODO wraz z rekomendacją dla administratora danych co do poziomu ryzyka, jaki zgodnie z RODO wiąże się z dalszym powierzaniem przetwarzania danych osobowych tej organizacji.

Administrator danych może sprawdzić praktycznie każdy aspekt związany z przetwarzaniem powierzonych danych osobowych, jak np. legalność stosowanego oprogramowania, zabezpieczenia informatyczne, prawa właścicieli danych lub wewnętrzne regulacje bezpieczeństwa.


Audyt procesorów ma udzielić odpowiedzi m.in. na takie pytania:

Czy procesor wyznaczył inspektora ochrony danych?

Czy procesor wdrożył wymagane środki techniczne i organizacyjne, np. prowadzi rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?

Czy procesor wdrożył mechanizmy i procedury, które umożliwią natychmiastowe zgłoszenie naruszenia bezpieczeństwa danych osobowych?

Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Czy procesor wdrożył wymagane środki techniczne i organizacyjne, np. prowadzi rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?

Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?

Czy procesor wdrożył mechanizmy i procedury, które umożliwią natychmiastowe zgłoszenie naruszenia bezpieczeństwa danych osobowych?

Czy procesor wyznaczył inspektora ochrony danych?

Warto tu zaznaczyć, że w porównaniu do początków wprowadzenia RODO dzisiaj firmy mają większą świadomość. Tak jak wcześniej administratorzy nawet nie wiedzieli, że ich obowiązkiem jest audytowanie procesora, tak teraz coraz częstszą praktyką jest przeprowadzanie audytów również u podprocesorów. Dodajmy, że RODO nie reguluje, co ile powinna być przeprowadzona kontrola, jednak optymalnie jest przeprowadzać ją przynajmniej raz w roku.

Jak skutecznie audytować procesora?

Niezależnie, czy jesteśmy administratorem, czy procesorem, audyt wymaga przygotowania, a także wiedzy, jak go przeprowadzić. Na szczęście nie musimy tu bazować na własnych zasobach. Rozporządzenie RODO dopuszcza skorzystanie z usług wyspecjalizowanej firmy zewnętrznej – taką jest właśnie PBSG. Na zlecenie administratora możemy zweryfikować, czy firma, której powierzono dane, spełnia warunki RODO.

Jak to wygląda w praktyce? Każdy projekt zaczynamy od przygotowania i planowania. Ochrona danych osobowych to wrażliwa kwestia, tak samo jak audyt procesora, który może poczuć się zestresowany zewnętrzną kontrolą. Dbamy o komfort obu stron – nasi konsultanci są ciągle do dyspozycji, na bieżąco też informują o kolejnych etapach prac. Zależy nam przede wszystkim na rzetelnej i profesjonalnej współpracy, której rezultatem będzie bezpieczeństwo powierzonych danych osobowych, a także spokój na wypadek kontroli RODO.

Poczytaj więcej, jak wygląda audyt: Audyt procesorów w ramach bezpieczeństwa danych osobowych

Audyt – jak wygląda od strony administratora, a jak od procesora?

Administratorzy danych osobowych mogą liczyć na to, że podejdziemy fachowo do zagadnienia. Naszym celem jest potwierdzenie zgodności przetwarzania lub wskazanie niezgodności przetwarzania danych osobowych przez procesora, w zakresie zarówno wymogów RODO, jak i umowy powierzenia. Na koniec przekazujemy rekomendacje co do kontynuacji współpracy z procesorem i sugestie ewentualnych zmian.


Korzyści dla administratora:

  • pewność, że działalność prowadzona jest zgodnie z RODO
  • minimalizacja ryzyka związanego z transferem danych do nierzetelnych podmiotów zewnętrznych
  • aktywność na tym polu jest dobrze widziana w przypadku kontroli urzędu nadzorczego lub audytu wewnętrznego

Z naszych usług mogą skorzystać sami procesorzy lub podprocesorzy, którzy chcą sprawdzić, czy spełniają wymogi RODO. Tutaj zapewniamy reprezentację podczas audytu administratora. Zadbamy o prawidłowy i zgodny z umową przebieg kontroli prowadzonej przez administratora. Przeanalizujemy również raport z kontroli i w przypadku stwierdzonych niezgodności przygotujemy odpowiednie rekomendacje, z uwzględnieniem ewentualnej renegocjacji umowy powierzenia.

Pamiętaj, realizacja obowiązku kontroli nie musi być obciążeniem ani dla administratora, ani dla podmiotu przetwarzające dane osobowe. Nie musi być też to długi proces dla obu stron. Zaletą jest to, że można skorzystać z opcji zdalnego audytu – wykorzystuje się wówczas ankiety, checklisty audytowe oraz analizę dokumentacji. Z wyspecjalizowanymi konsultantami audyt zgodności z RODO przebiegnie bezstresowo dla obu stron, a jej wynikiem może być umocnienie współpracy i wizerunku partnerów godnych zaufania.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
Czytaj, oglądaj, subskrybuj
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

Tomasz Borkowski
Dyrektor Sprzedaży, ukończył Uniwersytet Ekonomiczny w Poznaniu, z wykształcenia ekonomista ze specjalizacją w obszarze ekonomii menadżerskiej. Posiada certyfikat Risk Manager ISO 31000. Z branżą IT jest związany od ponad 8 lat. W swojej codziennej pracy pomaga klientom z różnych gałęzi w poprawie bezpieczeństwa IT, a także automatyzacji procesów zarządzania ryzykiem. Uczestnik wielu szkoleń i konferencji, w których brał również udział jako prelegent. Koordynuje projekty zarówno w organizacjach z branży biznesu jak i administracji publicznej. Często bierze udział w spotkaniach dla kadr kierowniczych w trakcie których prezentuje funkcjonalności systemów informatycznych oraz doradza w zakresie projektów konsultingowych. Od 2016 roku pracował w PBSG jako Key Account Manager rozwijając swoją wiedzę oraz stale wspierając swoich klientów. Od 2023 roku już jako Dyrektor Sprzedaży rozwija własny zespół. Prywatnie lubi spędzać czas grając w siatkówkę plażową oraz jeżdżąc rowerze, pasjonat historii z szczególnym uwzględnieniem XX wieku. Mieszka w Poznaniu, do którego przyjechał lata temu z wielkopolskich mazur słynących z pięknej przyrody – Zbąszynia.